Dare un senso all'interesse legittimo ai sensi del GDPR

Come indicato nel post di lancio di Dennis per la nostra serie di blog sul Regolamento generale sulla protezione dei dati (GDPR), le organizzazioni stabilite o operanti nell'UE devono disporre di una base legale per il trattamento dei dati personali. Il GDPR prevede sei basi giuridiche per tale trattamento: consenso, interesse legittimo, contratto, obbligo legale, interessi vitali e compiti pubblici. La maggior parte delle organizzazioni che desiderano acquisire nuovi clienti o utenti cercheranno il consenso o l'interesse legittimo come base consentita per l'elaborazione. La scorsa settimana abbiamo sentito Elizabeth, la nostra Privacy Specialist, in merito al consenso . Questa settimana esamineremo l'"interesse legittimo". C'è stata un po' di confusione riguardo al Legittimo Interesse, quindi cercheremo di fare chiarezza e di dirvi come la pensiamo!

La lingua
Innanzitutto, diamo un'occhiata al linguaggio pertinente dell'articolo 6 (1) (f) del GDPR sull'interesse legittimo:

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

f) il trattamento è necessario ai fini degli interessi legittimi perseguiti dal titolare del trattamento o da un terzo, salvo che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare dove l'interessato è un minore.

Si è tentati di pensare che l'interesse legittimo possa essere utilizzato per coprire una vasta gamma di circostanze, ovviando alla necessità del consenso. Ma le interpretazioni estese di questa sezione sono state apertamente scoraggiate: "Eccezioni aperte sulla falsariga dell'articolo 6 GDPR, e in particolare dell'art. 6(f) GDPR (motivo di interesse legittimo), dovrebbe essere evitato”. Cfr . gruppo di lavoro articolo 29 per la protezione dei dati, parere 01/2017 sulla proposta di regolamento per il regolamento ePrivacy (2002/58/CE), adottato il 4 aprile 2017.

Allora, dove tracciano il confine le organizzazioni?

Interesse legittimo in gioco
In primo luogo, prendiamo in considerazione quello che è un interesse legittimo. Il GDPR fornisce alcuni esempi come il trattamento dei dati personali per prevenire frodi, per scopi amministrativi interni relativi a dipendenti e clienti, per garantire la sicurezza della rete e delle informazioni e per segnalare a un'autorità competente possibili atti criminali o minacce alla pubblica sicurezza. Inoltre, è probabile che il trattamento dei dati necessario per soddisfare la governance aziendale interna o esterna o i relativi requisiti di conformità legale sia considerato un interesse legittimo.

Forse un esempio meno ovvio, il considerando 47 del GDPR indica il "trattamento dei dati personali per scopi di marketing diretto" come un interesse legittimo. Un malinteso comune in cui ci siamo imbattuti qui è che questo linguaggio giustifica tutto il marketing e persino gli opt-in soft. Per capire meglio perché questo non è il caso, è utile prima considerare ciò che questa dicitura non dice: questo non sta dicendo che tutto l'email marketing o tutto l'invio di materiale di marketing diretto è consentito.

In secondo luogo, è fondamentale ricordare che il GDPR non opera nel vuoto. Ai fini del marketing diretto, le organizzazioni e i professionisti del marketing devono tenere a mente come funziona il GDPR con la Direttiva sulla privacy e sulla comunicazione elettronica (Direttiva ePrivacy), che fornisce regole di consenso supplementari per il marketing inviato tramite telefono, fax, e-mail, SMS e altri canali di comunicazione elettronica , e che è attualmente in fase di aggiornamento. Ai sensi dell'attuale direttiva ePrivacy, è richiesto il consenso opt-in per il marketing tramite e-mail e SMS a meno che (i) la raccolta sia avvenuta nel punto vendita e (ii) sia stata fornita un'opzione di opt-out in quel momento. Quindi, mentre alcuni operatori di marketing di primo livello hanno una base legale per il marketing diretto basato sulla vendita e l'opt-out (per ora), in tutti gli altri casi gli operatori di marketing devono rispettare i requisiti di consenso opt-in, indipendentemente dal fatto che abbiano un interesse legittimo ai sensi del RGPD.

Ciò che costituisce un interesse legittimo diventerà più chiaro nel tempo con maggiori orientamenti e decisioni da parte degli organi competenti e con la pubblicazione della prossima Direttiva ePrivacy modificata. Nel frattempo, utilizziamo questi esempi e i parametri stabiliti dal GDPR discussi di seguito, come quadro per aderire ai principi del trattamento sulla base dell'interesse legittimo.

Evitare le insidie ​​​​di interesse legittimo
Per stabilire con sicurezza che esiste un interesse legittimo, le organizzazioni dovrebbero analizzare e documentare sia la necessità del particolare trattamento sia la loro conclusione dopo aver bilanciato l'interesse del trattamento con i diritti degli interessati. Questo è indicato da alcuni come una valutazione dell'interesse legittimo ("LIA"). Quanto alla necessità del trattamento, suggeriamo di prendere l'abitudine di chiedersi: lo stesso obiettivo può essere raggiunto senza trattare dati personali? Se la risposta è "sì", la migliore pratica è allontanarsi dall'interesse legittimo come base per il trattamento e ottenere il consenso.

Se la risposta è "no", l'obiettivo non può essere raggiunto altrimenti, un buon passo successivo è chiedersi: la necessità del trattamento è controbilanciata dagli interessi o dai diritti degli interessati? Nel rispondere a questa domanda, è importante ricordare che gli interessati hanno il diritto di opporsi all'interesse legittimo come base per il trattamento, opposizione che può essere superata solo con motivi "cogenti" indicati dall'organizzazione del trattamento.

Dati questi vincoli, quando si fa affidamento sull'interesse legittimo come base per l'elaborazione, si consiglia di disporre di un processo per mantenere una registrazione scritta della necessità e bilanciare le conclusioni. Ciò è particolarmente importante quando l'interessato è un bambino. E come pratica generale, aiuterà a evitare trabocchetti di interessi legittimi e dimostrerà che è stata data la giusta considerazione alla necessità del trattamento e ai diritti e alle libertà delle persone i cui dati vengono elaborati.

Una nota sull'avviso
Se un'organizzazione fa affidamento sull'interesse legittimo come base per l'elaborazione del GDPR, è necessario che l'organizzazione comunichi alle persone i cui dati vengono raccolti quali sono gli interessi legittimi e che hanno il diritto di opporsi. Questo può essere fatto al momento della raccolta dei dati o, nel caso della comunicazione di opposizione, nella sezione dell'informativa sulla privacy che tratta dei diritti delle persone. Come per tutte le cose relative al GDPR e alla privacy, il modo migliore per farlo è essere chiari e trasparenti sulle attività di elaborazione.